高陽

近日據(jù)媒體報道，俄羅斯莫斯科市準(zhǔn)備在全市17萬個閉路監(jiān)控攝像頭系統(tǒng)中引入人臉識別技術(shù)，以便快速鎖定罪犯，提升城市的安全級別系數(shù)。

隨著面部識別技術(shù)日趨成熟，越來越高的準(zhǔn)確率使得這一技術(shù)逐步進入了消費者應(yīng)用市場。如微軟公司開發(fā)的Windows 10操作系統(tǒng)，就能夠用人臉識別解鎖電腦，另外三星電子也在智能手機中引入了面部識別，在蘋果公司新發(fā)布的iPhone X手機中，更是在行業(yè)第一次內(nèi)推出了三維臉部識別技術(shù)。似乎，攝像頭的廣泛應(yīng)用大有取代指紋識別，成為新的身份驗證方式之勢。

360公司在去年5月上海亞洲電子展（CES Asia 2016）上發(fā)布的《國內(nèi)智能家庭攝像頭安全狀況評估報告》指出，我國市場上近八成攝像頭存在用戶信息泄露、數(shù)據(jù)傳輸未加密、APP不防護、代碼邏輯存在缺陷、硬件存在調(diào)試接口、可橫向控制等安全缺陷。攝像頭隱藏著安全大隱患，亟待研究防范。

攝像頭帶來安全大隱患

“包括傳統(tǒng)攝像頭和智能攝像頭在內(nèi)的視頻監(jiān)控系統(tǒng)可以稱作是‘物聯(lián)網(wǎng)之眼?！爆F(xiàn)就職于某互聯(lián)網(wǎng)中心、主要負責(zé)研究網(wǎng)絡(luò)信息和物聯(lián)網(wǎng)安全的王暉博士對《中國計算機報》記者介紹說，“不論是交通、工廠、公安等公用物聯(lián)網(wǎng)范疇，還是個人電腦、手機這類的民用領(lǐng)域，都離不開攝像頭設(shè)備?！?/p>

據(jù)了解，自2005年以來公安部和有關(guān)機構(gòu)在全國范圍內(nèi)開始推行“平安城市”“天網(wǎng)工程”等重大安防項目，視頻監(jiān)控正是其中核心推進的內(nèi)容?！拔覅^(qū)僅屬于公安系統(tǒng)的攝像頭在2012年啟用時就達到了2800個?！北本┦心硡^(qū)公安系統(tǒng)負責(zé)人對《中國計算機報》記者介紹道。據(jù)不完全統(tǒng)計，截至2009年年底，北京市監(jiān)控攝像頭總量為39萬余個，按照北京2000萬人口算，平均每千人約有20臺監(jiān)控攝像頭。

“攝像頭大范圍使用的同時也帶來了安全問題。”王暉表示目前不論是公用還是民用的攝像頭安全狀況均不樂觀?！吨袊嬎銠C報》記者從國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）了解到，目前僅公用領(lǐng)域的安防攝像頭就存在著安全漏洞多、更新補丁響應(yīng)速度慢，以及管理員防范意識薄弱的問題。

“而民用領(lǐng)域的攝像頭安全狀況也不容樂觀?！逼婊?60公司網(wǎng)絡(luò)安全中心的負責(zé)人對《中國計算機報》記者表示，“這些安全缺陷的存在讓接入網(wǎng)絡(luò)的智能攝像頭可輕易被黑客控制，并隨時獲取攝像頭的圖像和語音信息，對用戶進行監(jiān)控甚至網(wǎng)上直播。”

據(jù)悉，國外著名網(wǎng)絡(luò)漏洞搜索平臺Shodan在2016年1月開放了關(guān)于IoT漏洞的搜索，在IoT漏洞中搜索最多的就是智能攝像頭和工業(yè)安防攝像頭的漏洞。

黑客可以輕易找到漏洞

“視頻監(jiān)控系統(tǒng)大致可分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層五個層次?！北本┳锨G視通科技有限公司產(chǎn)品總監(jiān)于澤向《中國計算機報》記者介紹說，“從終端到傳輸再到管理設(shè)備的每一個環(huán)節(jié)均面臨重大的安全風(fēng)險?！?/p>

由于攝像頭一般都暴露在外，復(fù)雜多變的環(huán)境和缺乏專人實時監(jiān)管，這一層面面臨著諸多安全不確定性。“而在網(wǎng)絡(luò)層主要則面臨如DDoS攻擊、IP地址仿冒、非授權(quán)訪問或入侵等。這些安全威脅一方面會造成網(wǎng)絡(luò)癱瘓，致使視頻監(jiān)控系統(tǒng)無法工作，另一方面也可能會造成視頻監(jiān)控內(nèi)容被惡意篡改、丟失或被公開?！蓖鯐熣f。

而個人安全防范意識薄弱也為不法分子帶來了可乘之機。“使用缺省密鑰、弱密鑰和克隆密鑰等用戶習(xí)慣極易讓不法之徒抓住機會。”同方泰德副總工程師趙林向《中國計算機報》記者介紹說。

黑客通過簡單的一個后門程序便可以輕易篡改視頻內(nèi)容、中斷監(jiān)控、竊取機密信息甚至將其作為“跳板”對其他核心設(shè)備進行攻擊。據(jù)了解，在國外安全廠商Incapsula 10月份的一份報告中提到其監(jiān)測到一次DDoS攻擊，該攻擊利用了900個CCTV攝像頭，就發(fā)起了峰值達到每秒20000次http GET請求，而攻擊者之所以能夠輕易利用這些攝像頭，其原因就是這些攝像頭都采用了默認的登錄憑證，可遠程登錄并控制。

由于安防設(shè)備廠家良莠不齊，而業(yè)內(nèi)又缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，使得黑客可以輕易找到漏洞，令用戶防不勝防。同時，物聯(lián)網(wǎng)設(shè)備廠商也缺乏足夠的安全響應(yīng)能力，補丁更新緩慢也成為了視頻安防設(shè)備顯得“很脆弱”的一大原因。

攝像頭系統(tǒng)更新和維護很重要

一般來說，安全等級和防護級別是成正相關(guān)的，諸如網(wǎng)絡(luò)廣播電視或是涉密單位的安防系統(tǒng)，一般都是自己建網(wǎng)。通過自行搭建局域網(wǎng)的方式，使包括攝像頭在內(nèi)的物聯(lián)網(wǎng)設(shè)備完全隔離在互聯(lián)網(wǎng)之外，這樣便杜絕了來自互聯(lián)網(wǎng)的黑客攻擊。

但是這并不意味著就可以高枕無憂了。通過調(diào)查發(fā)現(xiàn)，正是由于自認為和互聯(lián)網(wǎng)隔絕很安全，因此太多的設(shè)備使用方忽略了安防設(shè)備的后期更新和維護。

據(jù)了解，2015年年初，政府機關(guān)和公共行業(yè)廣泛使用的某型號監(jiān)控設(shè)備被曝存在高危漏洞，并已被利用植入惡意代碼，導(dǎo)致部分設(shè)備被遠程控制并可對外發(fā)動網(wǎng)絡(luò)攻擊。CNCERT核查發(fā)現(xiàn)，我國主要廠商生產(chǎn)的同類型設(shè)備，普遍存在類似安全問題，亟須進行大范圍整改升級。

相反，對于家用攝像頭來說，由于連接了互聯(lián)網(wǎng)，使之可以及時獲得更新補丁，提升了安全防護層級。但這對制造智能硬件設(shè)備廠家的響應(yīng)速度和更新頻率帶來了更高的要求。

而對于如何能夠保障自己的智能攝像頭的隱私不會被泄露，北京紫荊視通科技有限公司的運行維護工程師馬海波給出了一些建議：“首先在購買的時候?qū)λx品牌的智能攝像頭要進行一些調(diào)查，要選擇一個口碑不錯、價格合適的攝像頭；其次在使用的時候要設(shè)置一定強度的密碼并養(yǎng)成經(jīng)常修改密碼的習(xí)慣；最后要經(jīng)常登錄攝像頭查看畫面角度是否發(fā)生過變化；同時還要及時關(guān)注智能攝像頭安全方面的消息，如果設(shè)備出現(xiàn)漏洞就需要等待廠家更新，以保證所使用的智能家庭攝像頭系統(tǒng)是最新版本的。”

市場研究機構(gòu)Gartner發(fā)布的數(shù)據(jù)顯示，2015年北美地區(qū)信息安全支出達339.38億美元，而中國為32.15億美元，僅為美國的9%。這個投入并不僅僅是在安防硬件設(shè)備上。

“由于目前高清攝像頭需求提升，4K、8K甚至是H.265編碼標(biāo)準(zhǔn)的設(shè)備大量被使用，這就對網(wǎng)絡(luò)帶寬提出了更高的要求，因此信息通信基礎(chǔ)設(shè)施的升級換代也是促進安全等級提高的重要一環(huán)?！蓖趿终f。endprint